Récemment, j’ai demandé à ma banque d’augmenter le plafond de ma carte bancaire, j’ai essayé de joindre mon conseiller pour faire cela, je ne peux pas le faire seul comme le Crédit Coopératif permet de faire cela via ses « applications » pour Android et iOS… et je ne suis ni sous Android ni sous iOS. D’habitude, ça se passe bien, mon conseiller le fait, on me facture des frais qu’on me rembourse aussitôt.
Cette fois-ci, je suis tombé sur un autre conseiller. Je soupçonne qu’il m’a sorti la soupe qu’on sort aux autres clients, « c’est la technologie », « on ne pourra rien y faire », « nous préparons nos clients », « il sera impossible d’accéder aux comptes sans l’application mobile ». De ce que j’ai compris, supprimer la possibilité de s’identifier via SMS sans application mobile dans la situation actuelle reviendrait à violer la DSP 2. Supposons que je me trompe et que ce soit tout à fait légal, cela impliquerait quand même que toute personne qui ne veut pas ou ne peut pas utiliser l’application mobile doive se déplacer à une borne, imaginez la galère en milieu rural, faire des kilomètres voire des dizaines de kilomètres pour voir ses comptes…
J’envisage de saisir le défenseur des droits à ce sujet. J’aimerais que les banques concernées cessent toute discrimination tarifaire envers les personnes qui ne veulent pas et/ou ne peuvent pas utiliser l’application mobile et qu’il ne soit pas obligatoire de l’installer. Je ne m’attends pas à un miracle, mais qui ne tente rien n’a rien.
Je trouve révoltant d’obliger à installer une application propriétaire, je n’ai pas envie que ma banque fouille sur mon téléphone. Elle n’a rien à y faire, la sécurité ne peut pas tout justifier.
Nous sommes deux personnes à nous atteler à la rédaction. N’hésitez pas à vous manifester si vous voulez nous aider.
Il me semble que l’auth par sms n’est pas dans les clous de la DSP2, mais qu’il y a une tolérance.
Par contre, la double auth peut être faite autrement qu’avec une app smartphone.
Le crédit mutuel peut fournir une sorte d’appareil photo à qrcode qui fait du totp (les conseillers ne savent pas toujours que c’est possible, faut leur envoyer le lien de la page web qui propose la solution).
Le crédit coop a un lecteur de carte bancaire qui permet aussi d’obtenir un code.
La poste utilise des certificats stockés en données locales du navigateur.
D’autres proposent l’auth sms aux personnes sans smartphone (mais c’est moins sécurisé).
Si jamais ça peut être utile à d’autres, actuellement j’utilise le système d’exploitation BlissOS basé sur Android+microG, dans une machine virtuelle QEMU. (leur site officiel)
Il y a eu pas mal de bugs par le passé mais leur version stable marche plutôt bien pour le moment, je peux installer tout ce dont j’ai besoin.
Certaines apps de banques dont le crédit mutuel vérifient si l’appareil n’est pas rooté et si les Google Play Services sont bien installés sur l’appareil, donc parfois ça coince. Il y a des solutions de contournement dans les modules de Magisk/Zygisk, mais les solutions évoluent rapidement et changent souvent, il faut voir lesquelles sont à la mode en ce moment.
Sinon pour le crédit mutuel, comme dit ljf le lecteur QR code à piles marche bien. Notez qu’il est toutefois facturé à l’acquisition par la banque.
(Et tant qu’à faire, un peu d’autopromo : j’ai tenu une conf sur mon mode de vie chelou.)
Oui, il faut au moins deux facteurs d’authentification.
Il me semble que j’ai utilisé le lecteur de cartes à une époque, pas certain que ça marche encore.
Merci, ça peut être une piste de contournement. Purée c’est dégoûtant de vérifier si l’appareil n’est pas rooté et si les Google Play Services sont installés sur l’appareil.
Le SMS seul ne suffit plus comme facteur d’authentification, cependant certaines banques, comme le crédit agricole, le pratiquent encore mais associé à un code à mémoriser, permanent, envoyé par courrier au client.
Cette solution à trois facteurs (Informations de la carte + code SMS + code à mémoriser) rentrerait dans les clous de DSP2, sans nécessiter d’application mobile.
Merci d’attirer l’attention sur ce problème : cela revient à une quasi-obligation à être utilisateur des Gafams. Il y a peut-être une carte à jouer avec le sentiment de souveraineté, qui est devenu plutôt populaire récemment.
Côté technique, est-ce qu’une « simple » MFA avec TOTP rentrerait dans le cadre DSP2 ?
Bonne idée de saisir le défenseur des droits, je suis dispo pour aider à la rédaction. Comment participer?
Salut, j’ajoute que pour les paiements en ligne aussi il y a d’autre système, par exemple en Allemagne les TAN Generator ( page en anglais parce qu’elle n’existe pas en français : Transaction authentication number - Wikipedia ).
Je n’y connais rien en DSP2 et compagnie mais je tiens à préciser que La Banque Postale, à force de se voir refuser le passage à l’app mobile par ses clients (dont moi), a fini par proposer comme mécanisme de sécurisation de simplement taper son code confidentiel d’authentification à chaque paiement, en plus du code unique reçu par sms. C’est que ça doit être suffisant pour satisfaire aux règles européennes, non ?
Actuellement, je suis chez BoursoBank (ex: Boursorama Bank).
Pas forcément la meilleur/la plus éthique mais bon, pas trop cher (9€/mois) et pratique pour les Entreprise Individuelle comme moi.
Dernièrement, ils m’annoncent qu’ils résilient leur offre « Bourso Pro » et m’invite à créer un compte « Bourso Business ».
Par contre, pour cela, je dois installer l’application « Android » pour créer le nouveau compte Je pourrais toujours consulter mes comptes via navigateur mais pour le créer, je dois avoir l’Appli.
Du coup, je l’installe, je la lance … mais elle ne fonctionne pas.
En effet, moi, je n’ai pas « Google Android » mais je suis sur « /e/OS »
Et ils ont vu que je ne l’ai pas installer depuis le « Google Play » (mais avec « App Lounge ») … et il m’invite à passer exclusivement par « Google Play » avec un compte Google : « Pour des raisons de sécurité ».
J’ai eu un conseillé longuement au téléphone, il découvrait le problème.
Après s’être renseigné, sa conclusion : changer de téléphone pour un « Google Android »
Du coup, je vais plutôt changer de banque.
Si vous avez une banque en ligne « Entreprise Individuelle » à me recommander, je suis preneur.